发布日期:2010-11-16
更新日期:2010-11-17
受影响系统:
OpenSSL Project OpenSSL 1.0.0
OpenSSL Project OpenSSL 0.9.8
不受影响系统:
OpenSSL Project OpenSSL 1.0.0b
OpenSSL Project OpenSSL 0.9.8p
描述:
--------------------------------------------------------------------------------
BUGTRAQ ID: 44884
CVE(CAN) ID: CVE-2010-3864
OpenSSL是一种开放源码的SSL实现,用来实现网络通信的高强度加密,现在被广泛地用于各种网络应用程序中。
OpenSSL的TLS扩展解析代码中存在竞争条件错误,可能导致堆溢出。成功利用这个漏洞要求服务器为多线程且使用了OpenSSL的内部缓存机制。
<*来源:Rob Hulswit
链接:
https://www.redhat.com/support/errata/RHSA-2010-0888.html
*>
建议:
--------------------------------------------------------------------------------
厂商补丁:
OpenSSL Project
---------------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
RedHat
------
RedHat已经为此发布了一个安全公告(RHSA-2010:0888-01)以及相应补丁:
RHSA-2010:0888-01:Important: openssl security update
链接:https://www.redhat.com/support/errata/RHSA-2010-0888.html